In der heutigen Geschäftswelt sind Unternehmen zunehmend mit einer Vielzahl von Vorschriften und Regulierungen konfrontiert. Die Einhaltung dieser Regeln ist nicht immer einfach, jedoch für Unternehmen unerlässlich, um gesetzeskonform zu handeln und das Ansehen zu wahren. Hier hat sich das Compliance Management System (CMS) als ein unverzichtbares Instrument etabliert. Es stellt sicher, dass Unternehmen und ihre Mitarbeitenden die geltenden Gesetze, Regulierungen und internen Verhaltenskodexe einhalten. Im folgenden Artikel gehen wir im Detail darauf ein, warum ein CMS für Unternehmen so wichtig ist und welche Schlüsselelemente für seine Effektivität entscheidend sind.
Ein Compliance Management System (CMS) ist eine systematische Struktur innerhalb eines Unternehmens, unabhängig von seiner Größe oder Branche, die die Regelkonformität der Organisation sicherstellt. Ein CMS unterstützt Unternehmen und seine Mitarbeitenden dabei, die geltenden Gesetze, Regulierungen und interne Verhaltenskodexe erfolgreich einzuhalten.
Existiert ein Compliance Management Systems (CMS) in einem Unternehmen, so wirkt dieses präventiv für die Verhinderung von Regelverstößen. Sollte es trotz eines grundsätzlich effektiven CMS zu einem Verstoß kommen, kann das Gericht bei der Festlegung der Sanktion dies strafmildernd berücksichtigen (BGH-Urteil vom 9. Mai 2017 – 1 StR 265/16). Im Entwurf des „Gesetzes zur Stärkung der Integrität in der Wirtschaft“, das insbesondere das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten“ umfasst, ist nun auch die strafmildernde Wirkung eines vorhandenen CMS mitberücksichtigt.
Die Gestaltung von Compliance-Management-Systemen (CMS) erfordert die Berücksichtigung essenzieller Prinzipien, die sowohl bei der Entwicklung als auch bei der Umsetzung Anwendung finden sollen. Die nachfolgenden Prinzipien legen dabei den Grundstein für ein effektives CMS.
Ein CMS sollte auf einer verantwortungsvollen Unternehmensführung im Sinne des Leitbilds des ehrbaren Kaufmanns basieren. Eine werteorientierte Compliance-Strategie ist entscheidend, die über das CMS hinaus ethisches und verantwortungsvolles Handeln innerhalb und außerhalb des Unternehmens fördert.
Das CMS und die dafür aufgebrachten Ressourcen müssen dem individuellen Risikoprofil des Unternehmens gerecht werden, unter Berücksichtigung von Größe, Struktur und Komplexität. Die Governance des Unternehmens sowie die Ausgestaltung des CMS sollten bei sich ändernden Bedingungen zeitnah angepasst werden, um ein angemessenes Risikoprofil sicherzustellen.
Das CMS sollte entwickelt und umgesetzt werden, um Compliance-Verstöße so weit wie möglich zu verhindern. Im Falle von Verstößen müssen Hinweise zuverlässig empfangen, aufgeklärt und adressiert werden. Dies erfordert risikoadäquate Aufsichtsmaßnahmen für jedes Unternehmensmitglied und eine angemessene Durchdringung des gesamten Unternehmens mit dem CMS, sowohl im In- als auch im Ausland.
Eine integrierte Governance-Struktur wird durch die Verknüpfung des CMS mit anderen bestehenden Managementsystemen gewährleistet. Die Aufgaben- und Anwendungsbereiche der einzelnen Systeme sollen so verzahnt sein, dass keine Lücken entstehen. Dies könnte erfordern, Compliance-Maßnahmen in die organisatorischen Abläufe anderer Unternehmensbereiche zu integrieren.
Eine angemessene und regelkonforme Dokumentation des CMS und der umgesetzten Maßnahmen ist unerlässlich. Der Umfang und die Tiefe der Dokumentation sollten sich an der Bedeutung der jeweiligen Regelung oder Maßnahme orientieren, sowohl für Entscheidungen zu den organisatorischen Grundlagen des CMS als auch für Einzelfallentscheidungen zu Sachverhalten mit Compliance-Relevanz.
Die Compliance-Risikoanalyse ist ein Schlüsselelement im Compliance Management System, da sie Schwachstellen im Unternehmen aufdeckt. Eine systematische Analyse ermöglicht die frühzeitige Erkennung von Risiken und ihre proaktive Steuerung durch angemessene Maßnahmen. Dies hilft, Risiken zu kontrollieren und potenzielle Schäden durch Compliance-Verstöße zu minimieren. Gesetze wie §§ 30, 130 OWiG sowie § 93 AktG und § 43 GmbHG in Deutschland schreiben klare Aufsichts- und Überwachungspflichten vor, wodurch die Notwendigkeit einer strukturierten Risikoanalyse betont wird.
Für eine effektive Risikobewertung sind geeignete Methoden zur Identifikation entscheidend. Obwohl regulatorische Anforderungen keine spezifischen Methoden vorgeben, ist es essentiell, Compliance-Risiken systematisch zu erkennen, zu bewerten und zu kommunizieren, um angemessene Maßnahmen zu steuern. Verschiedene Abteilungen und Funktionen im Unternehmen haben unterschiedliche Perspektiven auf potenzielle Risiken. Daher ist es wichtig, Informationen aus verschiedenen Quellen wie bestehende Risikomanagementsysteme, Fragebögen oder persönliche Gespräche wie Interviews und Workshops zu nutzen.
Das Compliance-Management-System (CMS) wird auf Grundlage einer Planung und grundlegender Maßnahmen individuell erstellt und umgesetzt. Die ISO 37301:2021 stellt einen international anerkannten Standard für Compliance-Management-Systeme dar. Nach diesem Standard werden auch Zertifizierungen gemacht, während der IDW PS 980 spezifische Anforderungen für die Prüfung von Compliance-Management-Systemen in Deutschland definiert. Die Ausgestaltung der CMS-Grundelemente und ihre Operationalisierung erfolgen auf Basis des etablierten Prevent – Detect – Respond (Vorbeugen – Entdecken – Reagieren)-Modells. Das CMS wird regelmäßig evaluiert und fortlaufend verbessert, um sicherzustellen, dass es als systematischer Qualitätsprozess im Unternehmen betrieben wird. Einzelne CMS-Grundelemente erfüllen mehrere Ziele und Aufgaben im CMS und können sowohl präventiv als auch repressiv wirken.
Um die Ziele zu fördern und die Aufgaben im Rahmen des Compliance-Management-Systems (CMS) zu erfüllen, ist die Entwicklung und Umsetzung eines effektiven Kommunikationskonzepts vorgesehen. Die Compliance-Kommunikation spielt eine entscheidende Rolle im CMS, insbesondere im Hinblick auf die Einhaltung von Regeln und die Schaffung einer nachhaltigen Compliance-Kultur. Beide Ziele betreffen das Verhalten der Unternehmensmitglieder, das maßgeblich von Informationen beeinflusst wird, die über verschiedene Kommunikationskanäle verbreitet werden.
Schulungen sollen das entsprechende Wissen über Compliance-Themen in verschiedenen Bereichen sowie die Kenntnis im Umgang mit diesen und dem CMS vermitteln. Sie dienen der Compliance-Sensibilisierung und der Förderung einer nachhaltigen Compliance-Kultur. Im Rahmen der Schulungen können der Verhaltenskodex sowie das CMS erläutert werden. Die Ausgestaltung von Schulungen, einschließlich Konzeption, Form, Häufigkeit und Inhalte, soll stets unter Berücksichtigung der Größe, Struktur und Komplexität des Unternehmens angemessen festgelegt werden. Eine fortlaufende Anpassung im Sinne der Flexibilität ist vorgesehen.
In der Finanzdienstleistungsbranche erfordert die regulatorische Umgebung ein umfassendes Screening von Kunden sowohl im Privat- als auch im Firmenkundengeschäft. Dieses Screening umfasst die eindeutige Identifikation der Kunden, die Prüfung der wirtschaftlich Berechtigten, Sanktionsprüfungen sowie die Bewertung eines ESG-Scores. Ohne umfassende und medienbruchfreie Prozesse besteht das Risiko hoher Aufwände und fehlerhafter Ergebnisse mit weitreichenden Konsequenzen. Daher ist an dieser Stelle eine kontinuierliche und integrierbare IT-Unterstützung unerlässlich, die sämtliche erforderlichen Prüfungen automatisiert erleichtert.
Die fortschreitende Digitalisierung stellt Unternehmen vor bedeutende Herausforderungen im Bereich der Compliance. Es ist entscheidend, sich bewusst zu machen, dass die mit der Digitalisierung verbundenen Risiken weitreichend sind. Einige zentrale Aspekte von IT- und Technologierisiken, die Unternehmen berücksichtigen sollten, umfassen Themen wie IT-Sicherheit, Datenwiederherstellung (Recovery), Archivierung und Datenschutz. Gerade bei der Verarbeitung personenbezogener Daten sind die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) von zentraler Bedeutung. Unternehmen sollten sich intensiv mit diesen rechtlichen Vorgaben auseinandersetzen und entsprechende Maßnahmen ergreifen, um einen angemessenen Schutz der Daten und die Einhaltung der gesetzlichen Bestimmungen sicherzustellen. Dies erfordert nicht nur technologische, sondern auch organisatorische Anpassungen, um die Compliance in der digitalen Ära zu gewährleisten.
In der Immobilienwirtschaft ist Compliance von entscheidender Bedeutung, um rechtskonformes Verhalten sicherzustellen. Die mit Compliance verbundenen Risiken in der Immobilienbranche können erheblich sein, insbesondere im Zusammenhang mit der Verarbeitung sensibler Daten, Bauprojekten und Umweltaspekten. Unternehmen müssen sich bewusst sein, dass die Digitalisierung zusätzliche Herausforderungen mit sich bringt, und geeignete Maßnahmen ergreifen, um potenzielle Risiken zu minimieren und den rechtlichen Anforderungen gerecht zu werden. In unserem Blogartikel erforschen wir die Schlüsselaspekte von Compliance in der Immobilienwirtschaft und beleuchten die damit verbundenen Risiken sowie bewährte Praktiken zur Risikominderung.
Die Umsetzung des Compliance-Managements ist als integraler Bestandteil der Legalitätskontrollpflicht hauptsächlich Aufgabe der Unternehmensleitung. Diese Verantwortung liegt gemeinschaftlich beim jeweiligen Leitungsgremium. Besonders in der grundlegenden Phase des Aufbaus des Compliance-Management-Systems (CMS) kommt der Unternehmensleitung eine herausragende Rolle zu. Ihre erste Aufgabe besteht darin, eine Compliance-Risikoanalyse durchzuführen oder zu initiieren, um festzustellen, ob und in welchem Maße das Risikoprofil des Unternehmens strukturierte Elemente eines CMS erfordert. Auf dieser Grundlage legt die Unternehmensleitung die organisatorischen Grundlagen des CMS fest und definiert seinen Anwendungsbereich. Dies umfasst auch die Aufgabenverteilung, sowie die Einrichtung und Ausgestaltung der Compliance-Funktion, einschließlich angemessener sachlicher, finanzieller und personeller Ressourcen.
Die Unternehmensleitung ist dazu angehalten, die Umsetzung des CMS im Unternehmen und Organisationen kontinuierlich zu unterstützen und die praktische Wirksamkeit in angemessenen Zeitabständen zu überwachen und evaluieren zu lassen. Sie sollte sich explizit zur Compliance-Kultur bekennen, indem sie das sogenannte „tone from the top“ verkörpert und ihr Bekenntnis durch aktive Unterstützung des CMS als Prozess sowie regelmäßige Thematisierung bekräftigt. Innerhalb der Unternehmensleitung kann die Verantwortung für die konkrete Ausgestaltung und Umsetzung des CMS einem Mitglied des Leitungsgremiums übertragen werden; in diesem Fall werden die übrigen Mitglieder zu einer Überwachungspflicht (horizontale Delegation) verpflichtet.
Das Engagement für Compliance in Unternehmen ist trotz seiner Bedeutung oft herausfordernd, da es neben fehlender Fachkenntnis auch mit Kosten verbunden ist, die anfänglich das wirtschaftliche Wachstum beeinträchtigen können. Dennoch ist die Einhaltung von Gesetzen entscheidend für langfristiges Wachstum und Überleben, da Verstöße zu Bußgeldern, Verlust von Genehmigungen und anderen schwerwiegenden Konsequenzen führen können. Compliance Management sichert mittel- und langfristig die Existenz eines Unternehmens und schützt dessen Reputation, die als Grundlage für Vertrauen und langfristige Kooperationen dient.
Die Sicherung der Reputation ist entscheidend, da Vertrauen die Basis für erfolgreiche Geschäftsbeziehungen bildet. Unternehmen mit funktionierendem Compliance-Programm haben einen Wettbewerbsvorteil, da viele globale Konzerne dies als Voraussetzung für Geschäftsbeziehungen fordern. Deutschland hinkt internationalen Compliance-Standards hinterher. Ein effektives Compliance Management System schafft Synergien im Unternehmen, überwindet Abteilungsgrenzen und optimiert Unternehmensprozesse, um Effizienz zu steigern und Doppelarbeit zu vermeiden. Es dient nicht nur der Einhaltung von Vorschriften, sondern auch der Organisation und Kontrolle des Unternehmens als Ganzes.
In einer zunehmend regulierten Geschäftsumgebung ist ein effektives Compliance Management System (CMS) unverzichtbar, um Unternehmen dabei zu unterstützen, gesetzliche Anforderungen einzuhalten und potenzielle Risiken zu minimieren. Die Schlüsselelemente eines CMS, wie eine werteorientierte Compliance-Kultur, Risikoorientierung und Integration in bestehende Managementsysteme, bilden die Grundlage für seine Effektivität. Die Rolle der Unternehmensleitung bei der Umsetzung und Überwachung des CMS ist entscheidend, um eine nachhaltige Compliance-Kultur zu etablieren. Letztendlich bietet ein gut implementiertes CMS nicht nur rechtliche Sicherheit, sondern auch Vorteile wie den Schutz der Unternehmensreputation und die Steigerung der Effizienz durch optimierte Prozesse.
Compliance ist kein statisches Thema. Bei der Weiterentwicklung eines CMS müssen Entwicklungen im Bereich künstliche Intelligenz, Kriminologie, Verhaltensforschung, Digitalisierung sowie neue Möglichkeiten zur Unterstützung der Compliance-Arbeit durch den Einsatz von IT-Tools berücksichtigt werden. Der Digitalisierungsprozess ist besonders aus Sicht der Compliance in zweifacher Hinsicht zu betrachten: als Chance für eine effektive Systemunterstützung, aber auch als Quelle neuer Compliance-Risiken.
Inhaltsangaben